El paquete Tripwire contiene los programas usados por Tripwire para verificar la integridad de los ficheros en un sistema.
Descarga (HTTP): http://telia.dl.sourceforge.net/sourceforge/tripwire/tripwire-2.3.1-2.tar.gz
Descarga (FTP): ftp://ftp.fu-berlin.de/unix/security/tripwire/tripwire-2.3.1-2.tar.gz
Tamaño del paquete: 1.4 MB
Estimación del espacio necesario en disco: 63 MB
Tiempo estimado de construcción: 2.35 SBU
Parche requerido para corregir múltiples errores de compilación (mira el parche para mas información): http://www.linuxfromscratch.org/patches/blfs/5.0/tripwire-2.3.1-2-gcc3-build-fixes.patch
Compila Tripwire ejecutando los siguientes comandos:
patch -Np1 -i ../tripwire-2.3.1-2-gcc3-build-fixes.patch && cd src && make release && cd .. && cp install/install.{sh,cfg} . |
Instala Tripwire ejecutando los siguientes comandos:
./install.sh && cp /etc/tripwire/tw.cfg /usr/sbin && cp policy/*.txt /usr/share/doc/tripwire |
make release : Este comando crea los binarios de Tripwiree.
cp install.{sh,cfg} . : Estos ficheros se copian al directorio principal de Tripwire para poder usar el guión para instalar el paquete.
cp policy/*.txt /usr/share/doc/tripwire : Este comando instala la documentación.
/etc/tripwire
Tripwire usa un fichero de políticas para determinar a qué ficheros se les chequeará su integridad. El fichero de políticas por defecto (twpol.txt en /etc/tripwire/) es para una instalación basada en Redhat 7.0 y está muy desactualizado.
Los ficheros de políticas son personales y deberían ser adaptados a cada distribución y/o instalación en particular. Encontrarás algunos de estos ficheros personalizados aquí abajo:
http://home.iprimus.com.au/glombowski/blfs/twpol-all.txt Comprueba la integridad de todos los ficheros http://home.iprimus.com.au/glombowski/blfs/twpol-lfs.txt Fichero de políticas adaptado para un sistema base LFS 3.0 http://home.iprimus.com.au/glombowski/blfs/twpol-suse7.2.txt Fichero de políticas adaptado para un sistema SuSE 7.2 |
Descarga el fichero de políticas que quieras probar, cópialo a /etc/tripwire/, y úsalo en lugar de twpol.txt. Sin embargo, recomendamos que crees tu propio fichero de políticas personalizado basándote en las ideas que aportan los ficheros anteriores y leyendo /usr/share/doc/tripwire/policyguide.txt. twpol.txt es un buen fichero de políticas para principiantes, ya que advertirá sobre cualquier cambio en el sistema de ficheros y puede incluso servir como una forma molesta de rastrear los cambios producidos al desinstalar software.
Después de copiar tu fichero de políticas a /etc/tripwire/ puedes comenzar con la configuración:
twadmin -m P /etc/tripwire/twpol.txt && tripwire -m i |
Durante la configuración Tripwire creará dos claves: una para el sitio y una local, que serán almacenadas en /etc/tripwire/.
Para usar Tripwire tras esto y genera un informe, utiliza el siguiente comando:
tripwire -m c > /etc/tripwire/report.txt |
Mira la salida para verificar la integridad de tus ficheros. Puedes generar un informe automático a través de una utilidad cron para planificar las ejecuciones.
Ten en cuenta que después de ejecutar un chequeo de integridad debes verificar el informe o correo electrónico y seguidamente modificar la base de datos de Tripwire de los ficheros de tu sistema para que Tripwire no te avise contínuamente que los ficheros que modificaste intencionadamente son una violación de la seguridad. Para lograrlo, primero ejecuta ls /var/lib/tripwire/report/ y anota el nombre del fichero más nuevo que comience con linux- y termina con .twr. Este fichero encriptado se creó durante el último informe y es necesario para actualizar la base de datos de Tripwire para tu sistema. Luego ejecuta lo siguiente, reemplazando adecuadamente los '?':
tripwire -m u -r /var/lib/tripwire/report/linux-???????-??????.twr |
Entrarás en vim con una copia del informe frente a tí. Si los cambios son correctos, sólo teclea :x y, después de ingresar tu clave local, la base de datos será actualizada. Si hay ficheros sobre los que quieres que se te advierta, solo elimina la 'x' delante del nombre del fichero en el informe y ejecuta :x.
Si no estás conforme con tu fichero de políticas y quieres modificarlo o usar uno nuevo, modifícalo y ejecuta los siguientes comandos:
twadmin -m P /etc/tripwire/twpol.txt && tripwire -m i |
El paquete Tripwire contiene siggen, tripwire, twadmin y twprint.